[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
David González Romero
dgrvedado en gmail.com
Lun Sep 23 12:45:10 UTC 2013
Yo veo que esto es una discusión absurda.
Angel la cuestión es muy sencilla:
1- Tu server hace ping a internet? SI
2- Tu red deberá poder navegar por medio del SQUID
3- Tu red, NUNCA podrá hacer PING a internet, porque no estas USANDO NAT
para adentro. Porque entonces que sentido tendría el SQUID?
4- Tu server no hace PING a internet
5- Entonces tu Iptables esta muy duro o existe otra causa de configuración
que impide que tu server vea internet
TIPS para montar servidores de red
1- Configurar servicios primarios
a- DNS
b- DHCP
c- MAIL
d- SQUID
e- APACHE
2- Comprobar que dichos servicios funcionan para toda la red
3- Proteger mi server y la red
a- Parando servicios no necesarios (NTP y CUPS por ejemplo)
b- Ir armando mi Firewall y por cada regla comprobar que el punto 2 se
cumpla.
4- Mi server esta listo para producción, prueba de producción durante un
tiempo y si la cumple, BINGO!!!
Por demás meterse en discusiones salomónicas no resuelve nada.
Saludos,
David
El 23 de septiembre de 2013 08:07, Pablo Alberto Flores
<pabflore en uchile.cl>escribió:
> Partamos por el principio, tu linux hace ping a google? si tu linux no hace
> ping tu lan nunca saldra al mundo.
>
>
> El 23 de septiembre de 2013 05:00, Rodolfo Vargas<edgarr789 en gmail.com
> >escribió:
>
> > El 22/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> > > Buen día.
> > >
> > > Rodolfo si usted se considera tan conocedor creo que debería plantear
> una
> > > solución u opción, no solo una critica de "esta mal" o "esta bien", de
> > nada
> > > sirve que me digan que esta mal (si por algo no funciona).
> >
> > La lista es para dar ideas, no siempre está obligada a resolver alguna
> > situación, no puedes obligar a la lista a que solucionen tu caso.
> >
> > Tmabién te aclaro que no me considero conocer, ese adjetivo tú me lo
> > estas diciendo, simplemente yo LEO, ME DOCUMENTO antes de hacer alguna
> > cosa, tienes los documentos de redhat linux en pdf, tienes a uno de
> > los mejores portales que da soporte a CnetOS (alcanelibre.org), que yo
> > sepa simplemente te recomendé que leas más porque tus preguntas son
> > reiterativas y la repuesta está en los mensajes que te han dado, NO
> > ESTAS SALIENDO A OTRAS REDES NO ESTA HACIENDO NAT
> >
> > >
> > > Sobre el ping interno escribí claramente que tengo *todos los servicios
> > en
> > > la LAN (locales)*, vaya FTP, HTTP, SSH... todos !.. Vaya, *SI PUEDO
> HACER
> > > PING* a la red LAN (osease a las IPs de los equipos de la red), solo no
> > > logro llegar al segmento distinto al que estoy (10.0.1.0/24), no puedo
> > > hacer ping al Router (192.168.1.254), por logica NO salgo a internet...
> > La
> >
> >
> > Claro pues mi amigo, LA PUERTA DE ENLACE del router no te esta
> > respondiendo, no estas en red con ese segmento y se debe a que no esta
> > haciendo traducción de direcciones, puede ser a varios factores:
> > 1.- no estas usando los parámentros de red correctos, esa máscara de
> > la clase A esta equivocada.
> >
> > 2.- puede ser que no haya conexión hacia el router, no estaría de más
> > verificar.
> >
> > 3.- las reglas iptables no estan correctamente puestas.
> >
> > Para hacer NAT necesitas iptables -t nat -A POSTROUTING -o eth0 -j
> > MASQUERADE y también echo 1 > /proc/sys/net/ipv4/ip_forward
> >
> > Arriba pongo -o y no he añadido -s, pongo así para que traduzca entre
> > todas las interfaces que tenga, si tienes solo dos es obvio que solo
> > traducirá de esa.
> >
> > solo eso es necesario, por eso te había recomendado borrar todas las
> > reglas que tienes por el momento y solo escribir lo de arriba si todo
> > esta correcto debería funcionar.
> >
> > > unica forma que funciono fue porque *no desconectaron* un cable de red
> > que
> > > va del router al switch, que se supone no debe estar ya que la idea es
> > que
> >
> >
> > Lo más lógico es pensar que si salía es que estaba en red con ese
> > router y usaba puerta de enlace de dicho router y asi podían estar con
> > internet.
> >
> > > el router *solamente este conectado* a la eth0 del server, y la eth1 al
> > > switch. Si quiero navegar, tengo que poner un cable del router al
> switch.
> > >
> >
> > Reitero:
> > Lo más lógico es pensar que si salía es que estaba en red con ese
> > router y usaba puerta de enlace de dicho router y así podían estar con
> > internet.
> >
> >
> > > Respecto a mis reglas, siempre que hago cambios *es obvio que limpio y
> > > vuelvo a cargar*.
> >
> > Algo anda mal
> >
> > >
> > > En mi segmento de IPs en la eth1 uso 10.0.1.0/24 con mascara
> > 255.255.255.0,
> > > ya que solo me importa asignar de: 10.0.1.2 a 10.0.1.254.... Ya que
> > > 10.0.1.1 es el server y 10.0.1.255 el broadcast....
> >
> > Amigo LA MASCARA DE LA CLASE A es la que te dijeron antes y te lo
> > pusieron en binario, ni idea tenías y tampoco te has preocupado en
> > averiguar creo, yo te dije por qué estas usando esa mascara, te dije
> > lee sobre ips privadas clase A, B, C, creo que eso te molesta, quieres
> > que todo te lo den mascado, quieres que te solucionen a tus preguntas,
> > y estas esperanzado solo en la lista, deberías intentar por otros
> > medios con las recomendaciones que te han dado, tienes mucha
> > documentación en internet.
> >
> > >
> > > Ayudar significa "plantear una solución", no solo criticar !.... Por
> > favor
> >
> > NO seas exigente con la lista, la lista no es soporte técnico a
> > medida, no pagas por ello a nadie de la lsita, la lista te puede
> > ayudar con ideas, pero no esta obligada a solucionar tu caso
> > particular, no sé si habrás leído sobre soporte comunitario, en fin
> > creo que ya te han dado suficientes argumentos para que tu puedas
> > solucionar tu caso.
> >
> > > limitese a ayudar, de nada me sirve una critica sin soluciones, me deja
> > en
> > > las mismas :S !
> >
> > La lista es para dar ideas MAS NO ESTA OBLIGADA A SOLUCIONAR TU CASO
> >
> > >
> > > Cuando mencione sobre mis tarjetas de red, lo comente porque la
> > > configuración que tienen considero está bien:
> > >
> > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth0 *
> > > DEVICE=eth0
> > > BOOTPROTO=static
> > > ONBOOT=yes
> > > IPADDR=192.168.1.1
> > > NETMASK=255.255.255.0
> > > NETWORK=192.168.1.0
> > > GATEWAY=192.168.1.254
> > > TYPE=Ethernet
> > > HWADDR=00:11:22:33:44:55
> > > DNS1=8.8.8.8
> > > DNS2=10.0.1.1
> > >
> > > *shell# /etc/sysconfig/network-scripts/ifcfg-eth1*
> > > DEVICE=eth1
> > > BOOTPROTO=static
> > > ONBOOT=yes
> > > IPADDR=10.0.1.1
> > > NETMASK=255.255.255.0
> > > NETWORK=10.0.1.0
> > > TYPE=Ethernet
> > > HWADDR=aa:bb:cc:dd:ee:ff
> > > DNS1=8.8.8.8
> > > DNS2=10.0.1.1
> > >
> > > Saludos !
> >
> > http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP
> > También podría servirte esto:
> >
> >
> >
> https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html
> >
> > Es mejor seguir la recomendación del mismo redhat linux, en cómo hace
> > dicha tarea, el tuyo esta bien, pero mejor sería que separaras en otro
> > archivo iptablesrules.sh e inicies en bott time dichas reglas
> > personalizadas desde rc.local, no tocarías nada del archivo iptables,
> > al final tus reglas se ejecutan y escribiran, bueno eso te puedo decir
> > y ya no seas muy exigente con la lista, si no te dan las ideas que tú
> > quieres, tú debes tratar de solucionar tu caso.
> >
> > >
> > >
> > > El 22 de septiembre de 2013 03:23, Rodolfo Vargas
> > > <edgarr789 en gmail.com>escribió:
> > >
> > >> El 21/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> > >> > Buenas...
> > >> >
> > >> > Hace dias habia expuesto un problema de configruacion de mis
> tarjetas
> > >> > de
> > >> > red el cual quedo solucionado, pero sin darme cuenta existia un
> cable
> > >> > de
> > >>
> > >> Quedó solucionado?¿
> > >>
> > >> > red conectado del router al switch, y cuando me percate lo
> desconecte
> > >> > ya
> > >> > que se supone que la configuracion del server es:
> > >>
> > >> NO debería haber problema
> > >>
> > >> >
> > >> > eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
> > >> > eth1 --> ip:10.0.1.1 conectada al switch (red lan).
> > >> >
> > >> > Servicios del server:
> > >> >
> > >> > - HTTP abierto para todos (LAN e Internet).
> > >> > - FTP abierto para todos (LAN e Internet).
> > >> > - SSH abierto para todos (LAN e Internet).
> > >> > - Los demas son para la LAN.
> > >> >
> > >> > Y la idea es:
> > >> >
> > >> > - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo
> > !.
> > >>
> > >> Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas
> > >> usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es
> > >> para clase C, o esta subneteado? no respondió tampoco.
> > >>
> > >> > - Los clientes tiene como Gateway la ip del server (10.0.1.1), se
> > >> > cumple
> > >> !.
> > >> > - La navegacion web se redirige al puerto del Squid, se cumple !.
> > >> > - Los demas puertos a consultar se hacen FW, creo que se cumple !.
> > >> > - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por
> la
> > >> > puerta gateway (ip del router).
> > >> >
> > >> > Problemas y Virtudes:
> > >> > - No logro hacer ping a ninguna pagina, ni a la IP del router.
> > >>
> > >> Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién
> > >> verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió
> > >> el problema de red antes, al parecer no solucionó dicho detalle,
> > >> primero debe asignar BIEN los parámetros de red, luego verificar, la
> > >> forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay,
> > >> hacer ping entre todas las interfaces por decir, tanto en la red lan y
> > >> fuera, si todo va bien recien aplicar reglas en firewall (es un
> > >> consejo que le doy)
> > >>
> > >> > - Si puedo hacer ping a los equipos locales.
> > >>
> > >> Pero verifique por qué usa la máscara que no le corresponde a esa
> clase
> > A
> > >> de ip
> > >>
> > >> > - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp,
> > >> > http,
> > >> > mysql).
> > >>
> > >> > - Si funciona la redireccion del 80 al puerto squid, ya que si
> escribo
> > >> una
> > >> > palabra restringida, sale la pagina de aviso de Squid.
> > >> >
> > >> > Mis reglas iptables son:
> > >> >
> > >> > iptables -F
> > >> > iptables -X
> > >> > iptables -Z
> > >> > iptables -t nat -F
> > >> >
> > >> > # politicas por defecto
> > >> > iptables -P INPUT ACCEPT # aceptamos entradas
> > >> > iptables -P OUTPUT ACCEPT # aceptamos salidas
> > >> > iptables -P FORWARD ACCEPT # aceptamos reenvios
> > >> > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat
> hacia
> > >> fuera
> > >> > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat
> hacia
> > >> > dentro
> > >> > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
> > >> > reenvios
> > >> >
> > >> > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> > >> > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
> > >> > # ftp y ssh
> > >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> > >> > # http
> > >> > iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> > >> > # https
> > >> > iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> > >> > # dns - dhcp
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j
> ACCEPT
> > >> > # portmapper/rpcbind
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> > >> ACCEPT
> > >> > # samba
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j
> ACCEPT
> > >> > # samba
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j
> > ACCEPT
> > >> > # squid
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j
> > ACCEPT
> > >> > # squid cache
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j
> > ACCEPT
> > >> > # nfs
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j
> > ACCEPT
> > >> > # asterisk
> > >> > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j
> > ACCEPT
> > >> > # webmind para LAN
> > >> >
> > >> > # forwardnig
> > >> > iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
> > >> > # ftp y ssh
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j
> > ACCEPT
> > >> > # dns - dhcp
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j
> > ACCEPT
> > >> > # dns -dhcp (udp)
> > >> > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> > >> > # http
> > >> > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
> > >> > # https
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j
> > ACCEPT
> > >> > # portmapper/rpcbind
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139
> -j
> > >> ACCEPT
> > >> > # samba
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j
> > ACCEPT
> > >> > # samba
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j
> > >> > ACCEPT
> > >> > # squid
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j
> > >> > ACCEPT
> > >> > # squid cache
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j
> > >> > ACCEPT
> > >> > # nfs
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j
> > >> > ACCEPT
> > >> > # asterisk
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j
> > >> > ACCEPT
> > >> > # webmind para LAN
> > >> >
> > >> > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j
> > ACCEPT
> > >> > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j
> > ACCEPT
> > >> >
> > >> > # enmascaramiento
> > >> > iptables -A OUTPUT -j ACCEPT
> > >> > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
> > DNAT
> > >> > --to 192.168.1.1:3128
> > >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
> SNAT
> > >> --to
> > >> > 192.168.1.1
> > >> > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
> > >> MASQUERADE
> > >> > # todo lo que salga de la red, se enmascara
> > >> > # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s
> > >> > 10.0.1.0/24 -j REDIRECT --to-port 3128
> > >> >
> > >> >
> > >> > # denegaciones
> > >> > iptables -A INPUT -p tcp --dport 1000 -j DROP
> > >> > # denegar webmind
> > >> > iptables -A INPUT -p tcp --dport 1:1024 -j DROP
> > >> > # cerrar puertos privados
> > >> > iptables -A FORWARD -p tcp --dport 1000 -j DROP
> > >> > # denegar webmind
> > >> > iptables -A FORWARD -j DROP
> > >> > # degenamos lo demas
> > >> >
> > >> > Saludos !
> > >> >
> > >>
> > >> Ya le han dado consejos, creo que ni los toma en cuenta, lo que le
> > >> aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra
> > >> salir hacia afuera y hacer ping entre todas las interfaces, osea a los
> > >> segmentos de red, es demasiado básico el escenario que plantea,
> > >> debería funcionar, vaya por partes, en fin solo usted entiende lo que
> > >> quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT
> > >> (entender no solo escribir)
> > >>
> > >> > --
> > >> > M.S.I. Angel Haniel Cantu Jauregui.
> > >> >
> > >> > Celular: (011-52-1)-899-871-17-22
> > >> > E-Mail: angel.cantu en sie-group.net
> > >> > Web: http://www.sie-group.net/
> > >> > Cd. Reynosa Tamaulipas.
> > >> > _______________________________________________
> > >> > CentOS-es mailing list
> > >> > CentOS-es en centos.org
> > >> > http://lists.centos.org/mailman/listinfo/centos-es
> > >> >
> > >>
> > >>
> > >> --
> > >> Live free or die!
> > >> _______________________________________________
> > >> CentOS-es mailing list
> > >> CentOS-es en centos.org
> > >> http://lists.centos.org/mailman/listinfo/centos-es
> > >>
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.cantu en sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > >
> >
> >
> > --
> > Live free or die!
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es